Cifratura di file in un ambiente Windows

17

Abbiamo determinati dati dei clienti che devono essere crittografati in ogni momento. La parte che abbiamo dovuto affrontare è la crittografia dei file sulle condivisioni di rete.

Attualmente disponiamo di cartelle di rete crittografate tramite PGP Netshare. Funziona piuttosto bene per la crittografia dei file, ma fa schifo per i file che devono essere accessibili da due o più persone contemporaneamente, ad esempio Microsoft Access. Se due persone accedono al file, il file verrà danneggiato.

Abbiamo provato Microsoft EFS, che è abbastanza semplice, ma difficile da configurare per più utenti. Non è possibile impostare più utenti per decodificare un file senza aggiungere esplicitamente il proprio cert al file tramite Esplora risorse di Windows (da quello che abbiamo scoperto).

Bitlocker è stato suggerito come un modo pulito per crittografare i file e configurarli in tutta l'azienda. Da quello che ho letto sembra che funzionerà per noi. Afferma che anche l'unità di sistema deve essere crittografata ed è qui che entrano in gioco i problemi. È molta configurazione configurare correttamente il bitlocker e non sono sicuro che sia una buona soluzione per ciò che devo fare.

Quindi, chiedo a voi, specialisti della sicurezza, qual è lo standard del settore per la protezione e la crittografia dei file di dati su un server di file Windows?

    
posta Brettski 15.04.2011 - 22:47
fonte

5 risposte

7

Ehmn, lo "standard del settore" per la crittografia dei file del gruppo di lavoro lato client (laptop / desktop) e lato server (condivisione di rete) in un ambiente SMB Microsoft è - non ti piacerà questo - don ' lo faccio Seriamente, pochissime persone lo fanno, per molte buone ragioni.

OK, hai detto "requisito", quindi la prossima soluzione migliore è Microsoft Crittografia del file system insieme a Active Directory per la gestione.

Le buone proprietà di EFS sono:

  • La crittografia è quasi completamente trasparente per gli utenti finali. I file EFS vengono utilizzati proprio come i normali file non crittografati; le autorizzazioni di decrittografia sono ereditate dall'account utente di Windows connesso.

  • Prestazioni piuttosto buone , EFS è integrato con NTFS e abbastanza veloce.

  • Funzionalità di gestione avanzate. tramite Active Directory puoi creare più livelli di account amministratore per sbloccare i file in caso di emergenza; gestire le autorizzazioni di gruppo / gruppo / dipartimento, ecc.

Lati negativi:

  • Se perdi tutte le chiavi, allora sei nei guai più profondi.

  • Impostazione di un buono, robusto e amp; Un'infrastruttura EFS sicura per un'azienda richiede molto lavoro e richiede un'attenta valutazione del rischio. Potresti iniziare con leggere questa panoramica e leggere la sezione "Ripristino" due volte .

  • Alcune applicazioni, principalmente app in stile client-server che girano su un PC desktop ma utilizzano credenziali utente diverse da quelle dell'utente connesso, non funzioneranno. O peggio ancora, corri, ma fallisci silenziosamente.

  • Alcune applicazioni potrebbero avere strani bug. Ad esempio, con EFS il mio browser Google Chrome si lamenta spesso di un arresto impuro e perde le sue impostazioni. Senza EFS non ho questo problema.

  • EFS può essere contro-intuitivo. Ad esempio, il comportamento predefinito è che se si copia un file EFS su una destinazione non crittografata tramite l'icona comune drag'n'drop , il file viene decrittografato in modo trasparente. Ma se si esegue esattamente lo stesso tramite alcuni strumenti da riga di comando, il file rimane crittografato. Ciò ha ingannato più di un backup di file e ha causato la perdita di dati.

You can't set multiple users to decrypt a file without explicitly adding their cert to the file though Windows Explorer (from what we have discovered)

La soluzione è Active Directory & Criteri di gruppo . Active Directory può essere scoraggiante. Senza offesa, ma se questo è nuovo per te, forse dovresti trovare un esperto sysadmin di Microsoft per dare una mano con il design.

Per quanto riguarda TrueCrypt: Personalmente, non utilizzerei mai TrueCrypt per questo. Io amo TrueCrypt, e lo uso ogni giorno sul mio PC. Ma in fondo è una soluzione a singolo computer, senza strumenti di gestione di gruppo / multi-PC / funzionalità di gestione delle chiavi multi-livello. Non è lo strumento giusto per gruppi di lavoro / aziende, a parte forse la crittografia del disco rigido del laptop full-disk (e anche lì, Bitkeeper è più potente sulle capacità di gestione).

    
risposta data 18.04.2011 - 22:32
fonte
2

TrueCrypt offre l'opzione di fornire condivisioni di rete:

Sharing over Network

If there is a need to access a single TrueCrypt volume simultaneously from multiple operating systems, there are two options:

  1. A TrueCrypt volume is mounted only on a single computer (for example, on a server) and only the content of the mounted TrueCrypt volume (i.e., the file system within the TrueCrypt volume) is shared over a network. Users on other computers or systems will not mount the volume (it is already mounted on the server).

    Advantages: All users can write data to the TrueCrypt volume. The shared volume may be both file-hosted and partition/device-hosted.

    Disadvantage: Data sent over the network will not be encrypted. However, it is still possible to encrypt them using e.g. SSL, TLS, VPN, or other technologies.

    Remarks: Note that, when you restart the system, the network share will be automatically restored only if the volume is a system favorite volume or an encrypted system partition/drive (for more information on how to configure a volume as a system favorite volume, see the chapter System Favorite Volumes).

  2. A dismounted TrueCrypt file container is stored on a single computer (for example, on a server). This encrypted file is shared over a network. Users on other computers or systems will locally mount the shared file. Thus, the volume will be mounted simultaneously under multiple operating systems.

    Advantage: Data sent over the network will be encrypted (however, it is still recommended to encrypt them using e.g. SSL, TLS, VPN, or other appropriate technologies to make traffic analysis more difficult and to preserve the integrity of the data).

    Disadvantages: The shared volume may be only file-hosted (not partition/device-hosted). The volume must be mounted in read-only mode under each of the systems (see the section Mount Options for information on how to mount a volume in read-only mode). Note that this requirement applies to unencrypted volumes too. One of the reasons is, for example, the fact that data read from a conventional file system under one OS while the file system is being modified by another OS might be inconsistent (which could result in data corruption).

Anche se ampiamente utilizzato, esiste ancora una quantità di stigma associato all'uso di TrueCrypt nell'azienda, principalmente basato sull'anonimato degli sviluppatori (che alcuni potrebbero vedere come una buona cosa!), vedere questo scrivi

Truecrypt’s source code has never been the subject of a thorough review, nor is there any reason to rely on the credentials of the developers, since they remain anonymous.

Quindi parte della domanda dovrebbe essere, posso implementarlo all'interno della mia organizzazione piuttosto che fare ciò di cui abbiamo bisogno.

Spero che questo aiuti.

    
risposta data 16.04.2011 - 09:13
fonte
2

L'unico con cui ho esperienza è CREDANT . Dovrebbe essere in grado di fornire tutti i servizi di cui hai bisogno. Non è open source, il che sembra non essere un problema da come si legge la tua domanda.

So che CheckPoint (la società di appliance sec) ha un prodotto che è stato chiamato Pointsec . Non ho molta familiarità con esso, ma è anche qualcosa da investigare.

Nota a margine, TrueCrypt non è uno strumento di livello aziendale. Manca le opzioni di amministrazione di base. Non sto dicendo che TrueCrypt non è un buon strumento, lo uso a casa tutto il tempo, ma non è costruito per servire anche una piccola impresa.

Se CREDANT o CheckPoint non ha quello che stai cercando, usali come luogo per iniziare la tua ricerca. Inoltre, facci sapere che cosa ti è venuto in mente, sono interessato se ci sono altre opzioni applicabili sul mercato.

Un'altra idea è contattare qualsiasi fornitore di appliance di sicurezza in uso (supponendo che ti piacciano i loro prodotti). Parla con i tuoi dipendenti PaloAlto, i dipendenti CheckPoint, i dipendenti Cisco, i ginepro, ecc ... e guarda cosa hanno da dire.

    
risposta data 18.04.2011 - 15:20
fonte
1

Hai provato a utilizzare True Crypt?

Non farà alcuna rete ma si comporterà proprio come una normale unità. Ma puoi usare true crypt per proteggere i file sul disco fisso e utilizzare qualsiasi altro sistema di consegna della rete sicuro che fornisce i dati da una cartella.

    
risposta data 15.04.2011 - 23:34
fonte
1

Pointsec può farlo molto bene e si collega semplicemente ad Active Directory. È la soluzione più comune che ho visto nelle aziende globali dove hanno dovuto crittografare i volumi.

Dove sono solo i dati che devono essere crittografati, la maggior parte delle soluzioni che ho visto memorizzano i dati in un database che supporta la crittografia o SAN crittografate.

    
risposta data 18.04.2011 - 23:15
fonte

Leggi altre domande sui tag